信息安全手册.docVIP

XXXXXXXX有限公司 信息安全管理手册 目录 1 目的 3 2 范围 3 3 总体安全目标 3 4 信息安全 3 5 信息安全组织 3 5.1 信息安全组织 3 5.2 信息安全职责 3 5.3 信息安全操作流程 3 6 信息资产分类与控制 3 6.1 信息资产所有人责任 3 6.1.1 信息资产分类 3 6.1.2 信息资产密级 3 6.2 信息资产的标识和处理 3 7 人员的安全管理 3 7.1 聘用条款和保密协议 3 7.1.1聘用条款中员工的信息安全责任 3 7.1.2商业秘密 3 7.2 人员背景审查 3 7.2.1 审查流程 3 7.2.2 员工背景调查表 3 7.3 员工培训 3 7.3.1 培训周期 3 7.3.2 培训效果检查 3 7.4 人员离职 3 7.4.1离职人员信息交接流程 3 7.5 违规处理 3 7.5.1信息安全违规级别 3 7.5.2信息安全违规处理流程 3 7.5.3违规事件处理流程图 3 8 物理安全策略 3 8.1场地安全 3 8.1.1 FBI受控区域的划分 3 8.1.1.1受控区域级别划分 3 8.1.1.2 重要区域及受控区域管理责任划分 3 8.1.1.3 物理隔离 3 8.1.2出入控制 3 8.1.3名词解释 3 8.1.4人员管理 3 8.1.4.1人员进出管理流程 3 8.1.4.1.1公司员工 3 8.1.4.1.2来访人员 3 8.1.5 卡证管理规定 3 8.1.5.1卡证分类 3 8.1.5.2卡证申请 3 8.1.5.3卡证权限管理 3 8.2设备安全 3 8.2.1设备安全规定 3 8.2.2设备进出管理流程 3 8.2.2.1设备进场 3 8.2.2.2 设备出场 3 8.2.3BBB办公设备进出管理流程 3 8.2.3.1设备进场 3 8.2.3.2设备出场 3 8.2.4特殊存储设备介质管理规定 3 8.2.5 FBI场地设备加封规定 3 8.2.6 FBI场地设备报修处理流程 3 9 IT安全管理 3 9.1网络安全管理规定 3 9.2系统安全管理规定 3 9.3病毒处理管理流程 3 9.4权限管理 3 9.4.1权限管理规定 3 9.4.2配置管理规定 3 9.4.3员工权限矩阵图 3 9.5数据传输规定 3 9.6业务连续性 3 9.7 FBI机房、实验室管理 3 9.7.1门禁系统管理规定 3 9.7.2服务器管理规定 3 9.7.3网络管理规定 3 9.7.4监控管理规定 3 9.7.5其它管理规定 3 10信息安全事件和风险处理 3 10.1信息安全事件调查流程 3 10.1.1信息安全事件的分类 3 10.1.2信息安全事件的分级 3 10.1.3安全事件调查流程 3 10.1.3.1 一级安全事件处理流程 3 10.1.3.2 二级安全事件处理流程 3 10.1.3.3 三级安全事件处理流程 3 10.1.4 信息安全事件的统计分析和审计 3 11检查、监控和审计 3 11.1检查规定 3 11.2监控 3 11.2.1视频监控 3 11.2.2系统、网络监控 3 11.3审计 3 11.3.1审计规定 3 11.3.2审计内容 3 12奖励与处罚 3 12.1奖励 3 12.1.1奖励等级 3 12.2处罚 3 12.2.1处罚等级 3 一级处罚 3 常见一级处罚 3 二级处罚 3 常见二级处罚 3 三级处罚 3 常见三级处罚 3 四级处罚 3 常见四级处罚 3  1 目的 为了规范和明确XXXXXXXX有限公司业务发展的信息安全管理方面的总体要求，特制定本规定。确保我司BBB项目符合BBB信息安全管理要求；有效保护双方利益和和信息资产安全，特制定此规定。 2 范围 本规定适用于XXXXXXXX有限公司各部门及全体员工。 3 总体安全目标 建立符合要求的信息安全管理体系，确保离岸外包项目运作中的信息安全，防止公司及客户的技术秘密、商业秘密的泄露，保障公司外包业务的顺利发展。 4 信息安全 信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不被中断。 5 信息安全组织 5.1 信息安全组织 为了响应公司外包业务的离岸政策、适应外包业务发展方向、使业务能够顺利回迁，建立符合公司及客户要求的信息安全管理体系，保证业务离岸后的顺利开展，本着尊重知识产权、维护公司、客户的商业利益、为客户的业务开展提供最安全的保障服务。经公司研究决定成立信息安全管理组，各地域或场地可参照成立信息安全小组。 5.2 信息安全职责 信息安全主任：根据公司信息安全要求及业务发展需求，对信息安全相关事务进行支持、决策，确保外包项目的信息安全，对所承接的BBB外包服务业务的信息